Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/12/2011
Múltiples vulnerabilitats en productes Websense
S’han anunciat múltiples vulnerabilitats en productes Websense, que podrien permetre a un atacant construir atacs de cross-site scripting, evitar restriccions de seguretat i inclús executar codi arbitrari en els sistemes afectats.Tres dels problemes estan relacionats amb la interfície web d’administració d’informes.
- El primer rau en un error no detallat que podria permetre eludir el mecanisme d’autenticació.
- Dos dels problemes rauen en el tractament de les entrades, que no s’han netejat bé i poden permetre realitzar atacs de cross-site scripting, amb la consegüent execució de codi script arbitrari.
- Finalment, hi ha un error, del qual no s’han facilitat detalls, que podria donar lloc a l’execució de codi arbitrari.
Websense Web Security Gateway, versió 7.6
Websense Web Security versió 7.6
Websense Web Filter versió 7.6.
None
Solució:Es recomana aplicar el Hotfix 12 per a la versió 7.6.2 o el Hotfix 24 per a la versió 7.6.0, disponibles des de:
https://www.websense.com/content/mywebsense-hotfixes.aspx
NGS00138 Patch Notification: Websense Triton 7.6 - Authentication bypass in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0091.html
NGS00137 Patch Notification: Websense Triton 7.6 - Reflected XSS in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0093.html
NGS00140 Patch Notification: Websense Triton 7.6 - Unauthenticated remote command execution as SYSTEM
http://archives.neohapsis.com/archives/bugtraq/2011-12/0094.html
NGS00141 Patch Notification: Websense Triton 7.6 - Stored XSS in report management UI
http://archives.neohapsis.com/archives/bugtraq/2011-12/0095.html